#26 Le 25/07/2009, à 11:29
- Laurent_16
Re : probleme iptables
Faux ...
Quand ton script contiendra plus de lignes, ou bien si jamais tu l'appliques juste au moment où tu as un 'cron' qui tourne, ton script peut mettre bien plus d'une seconde pour s'appliquer. De plus, dans ton cas, tu ne perds pas la main '1 seconde' de plus qu'avec mon script ...
Le fait d'activer la politique par défaut en DROP en premier est ce qui est recommandé en terme de sécurité, et là je suis d'accord, mais il me semble que tu joues sur des détails.
Hors ligne
#27 Le 25/07/2009, à 11:37
- NooP
Re : probleme iptables
On peut dire que je joue sur des détails, mais en sécurité, il n'y a pas de détails, mais des failles ...
Si tu regardes mon script, la première règle que j'autorise est SSH, ce qui assure de ne pas perdre la main sur la machine en cas de soucis.
Votez Macron, vous l'aurez dans le fion !
Hors ligne
#28 Le 25/07/2009, à 11:43
- Laurent_16
Re : probleme iptables
Faux ...
Quand ton script contiendra plus de lignes, ou bien si jamais tu l'appliques juste au moment où tu as un 'cron' qui tourne, ton script peut mettre bien plus d'une seconde pour s'appliquer. De plus, dans ton cas, tu ne perds pas la main '1 seconde' de plus qu'avec mon script ...
J'ai une machine pas très puissante, avec plein de règles iptables, et le script mets près de 8 secondes pour se dérouler.
Si jamais cette machine effectue un job en même temps, je peux arriver à plus de 30 secondes...
On parle de protéger la machine, et dans ce cas, il ne faut rien négliger.Et si jamais ton script contient une règle iptables non valide ou une erreur, il ne se déroulera pas jusqu'au bout, et laissera ta machine non protégée.
Je reviens sur mes pas, tu as raison, ce que j'estime être un détail a une certaine importance.
Hors ligne
#29 Le 27/07/2009, à 10:22
- ranmax
Re : probleme iptables
Bon, je vais essayer toutes les solutions de toute façons.
Et c'est aussi comme ça qu'on avance .
Par contre, Noop, j'ai cru comprendre que les "interdictions" sont à mettre à la fin hors, si j'ai bien compris tes règles, tu les mets juste après la remise à zéro.
Le reste ne se bloque pas comme ça? (en même temps, si tu l'utilises, j'imagine déjà la réponse )
Il est difficile d'attraper un chat noir dans une pièce sombre, surtout s'il n'y est pas.
http://www.ranmaxime.com
Hors ligne
#30 Le 27/07/2009, à 11:33
- NooP
Re : probleme iptables
Re,
Les règles sont celles installées dans la partie '# Police par défaut'. Ce que je fais dans la section '# Securisation du script', on pourrait dire que ça ne sert à rien, car la police par défaut est à 'DROP'.
Ce qu'il faut comprendre, c'est qu'IpTables fonctionne en linéaire, passant une à une les lignes du script (De haut en bas) jusqu'à ce qu'il trouve une règle correspondant au paquet en cours de traitement.
S'il ne trouve rien, c'est la police par défaut qui est appliquée.
La section '# Securisation du script' n'est qu'une sécurité supplémentaire (Elle fait la même chose que la police par défaut), mais elle a le grand avantage de permettre de logguer les paquets droppés et c'est très utile lorsqu'on débute avec iptables.
PS : J'ai modifié le script pour inclure une variable 'DEBUG' qui permets d'activer / désactiver le log dans les règles de sécurisation.
Dernière modification par NooP (Le 27/07/2009, à 11:54)
Votez Macron, vous l'aurez dans le fion !
Hors ligne
#31 Le 28/07/2009, à 11:40
- ranmax
Re : probleme iptables
Merci, j'ai enfin quelque chose qui tourne apparement. Je peux mettre à jour, afficher le site et éviter que ce soit une passoire.
Merci à vous deux pour tout vos renseignements, maintenant je vais pouvoir peaufiner de mon côté
Il est difficile d'attraper un chat noir dans une pièce sombre, surtout s'il n'y est pas.
http://www.ranmaxime.com
Hors ligne
#32 Le 28/07/2009, à 11:51
- NooP
Re : probleme iptables
Si tu es intéressé, poste ici ton script une fois qu'il sera terminé. J'y jetterais un œil.
Votez Macron, vous l'aurez dans le fion !
Hors ligne